Ein erster Blick auf Securepoint’s Antivirus Pro

Seit geraumer Zeit bietet Securepoint neben der etablierten UTM und der UMA einen eigenen Virenschutz an.

Dieser wird zentral verwaltet, wobei auch lokale Einstellungen möglich sind und setzt auf die T3 Scan-Engine des österreichischen Herstellers Ikarus (Wikipedia), die ihres Zeichens regelmässig bei Tests (sehr) gut abschneidet und zudem bei vielen anderen Produkten weiterer Anbieter zum Einsatz kommt.

Allein schon aus dieser Kombination, gemeint ist Securepoint und Ikarus, heraus ergibt sich ein DSGVO- bzw. datenschutzfreundliches Produkt, was man nicht (mehr) von allen Akteuren am Markt behaupten kann.

Der Vertrieb erfolgt ausschließlich über Securepoint-Partner und ist nicht an eine UTM oder weitere Produkte gebunden! Die Lizenzen können sowohl mit Laufzeiten von ein, drei und fünf Jahren erworben oder im Rahmen eines MSP auf monatlicher Basis bezogen werden. Bei letzterem ist eine Mindestabnahme von 100 Stück sowie ein MSP-Vertrag zu beachten.

Lizenziert wird pro Gerät, also Client sowie Server, dies gilt auch für Terminalservern (aka Remote Desktop Session Host) und stellt gerade bei letztem einen echten Vorteil gegenüber der benutzerbezogenen Lizenzierung anderer Hersteller dar.

Erst-Kontakt

Zunächst muss im Dashboard der Kunde und die Lizenz vorhanden sein. Ein Self-Service, d.h. Kunden anlegen, Lizenzen bestellen ist über das Reseller-Portal oder den Innendienst möglich.

Neben dem bei der ersten Anmeldung erstellbaren Standard-Profil können im Dashboard unter dem Punkt „Konfigurationsprofile“ weitere Profile angelegt, kopiert und voreingestellt werden. Über den Punkt „Gruppen“ können die Konfigurationsprofile zugewiesen werden.

Securepoint empfiehlt mindestens eine Gruppe für Clients und eine für Server anzulegen und die Benachrichtigungen für veraltete Systeme auf drei (Server) und 28 (Clients) Tage zu setzen. Im Wiki des Anbieters ist alles notwendige und vieles mehr beschrieben.

Installation

Um für die jeweilige Installation das passende vorkonfigurierte Setup zu erhalten im Bereich „Lizenzen“ beim entsprechenden Kunden oder im Bereich „Gruppen“ auf das Download-Symbol klicken und das Paket seiner Wahl herunterladen.

Im Gegensatz zu manch anderem Produkt am Markt erhält man wahlweise ein Archiv, das Setup und Konfigurationsdatei enthält, nur die Konfigurationsdatei, eine vorkonfigurierte oder eine unkonfigurierte MSI-Datei. Sowohl das Archiv als auch die MSI-Datei enthalten ein vollständiges Setup, es wird also nicht erst ein Agent installiert und dann der Rest nachgezogen wie bei anderen Anbietern. Allerdings ist dieses Setup nicht immer ganz aktuell, so das bei der ersten Aktualisierung nach der Installation beispielsweise nicht nur die Signatur sondern auch die Scan-Engine ein Update erfahren.

Ein Neustart nach der Installation ist übrigens nicht notwendig. Die Installation kann manuell (mit oder ohne der Konfigurationsdatei) oder automatisiert (silent) stattfinden. Das Setup fällt mit ca. 52 MB erfreulich kompakt aus, ferner ist die Installation sehr schnell durchlaufen.

Konfiguration

Die Konfiguration kann vice-versa stattfinden, d.h. in der Regel wird via Dashboard ein Konfigurationsprofil erstellt und auf eine Gruppe angewendet. Man kann allerdings auch lokal einen Client konfigurieren und diese Einstellungen in das Konfigurationsprofil übertragen.

Selbst wenn etwas am Client lokal verändert wurde, wird dies im Dashboard angezeigt (Spalte „Status“ mit den Werten „Synchron/Asynchron“) und die Änderung kann wieder überschrieben werden.

Generell empfiehlt sich im Konfigurationsprofil unter „Clientkonfiguration“ ein Passwort zu setzen, damit der Anwender die Einstellungen nicht einfach so verändern kann. Leider wird dieses Passwort oder ein Hash davon nicht gespeichert, so das man dieses jedes Mal neu eingeben muss.

Der erste Scan

Leider gibt es noch keine Möglichkeit, aus dem Dashboard heraus einen ad-hoc Scan starten zu können, dies geht nur lokal am Client. Auf dem Test-Gerät wurde der vollständige Scan mit einer Dauer von 45 Minuten veranschlagt und war letztlich nach gut 27 Minuten beendet. Grundsätzlich empfiehlt sich ein erster Scan, damit das Infobereichssymbol (aka Tray Icon) keine Warnung mehr anzeigt. Regelmässige Scans können im Konfigurationsprofil eingestellt werden. Ein Leerlauf-Scan ist Moment noch nicht möglich, Securepoint bittet allerdings in der Wunschbox im Feedback zu diesem angedachten Feature.

Malware-Fund und weiter

Wurde eine Malware oder eine PUA bzw. ein PUP gefunden, wird dies lokal angezeigt sowie im Dashboard und sofern im Konfigurationsprofil eingestellt via E-Mail mitgeteilt. Etwas ungünstig kann sein, das für jeden Fund eine eigene E-Mail versendet wird. Offenbar ist dies von einem gewissem zeitlichem Rahmen abhängig, da für den ersten Fund eine E-Mail ankam und für die beiden weiteren etwas später eine Mail die für beiden letzten Treffer galt verschickt wurde.

Die Funde werden immer in die Quarantäne verschoben und können von dort aus lokal sowie via Dashboard weiter behandelt werden. Leider, wie bei vielen anderen Anbietern auch, gab es drei false-positives hinsichtlich eigener AutoIt-Skripte (ein Treffer) sowie eines VST-Plugins (zwei Treffer).

Ein direktes dauerhaftes Exkludieren aus der Quarantäne heraus ist nicht möglich, dies geht lediglich temporär, wobei direkt angeboten wird die verdächtige Datei an das Labor zu senden und somit der falsche Treffer zukünftig vermieden werden kann. Beim Versand an das Labor kann angegeben werden ob dies anonym oder mit Rückmeldung an eine E-Mail-Adresse erfolgen soll.

Was noch?

Aktuell fehlt noch ein Tamper-Schutz, wobei im Regelfall der gemeine Anwender sowie der tagtägliche Nutzer des Computers keine Administrator-Rechte haben sollte. Der Passwort-Schutz von Antivirus Pro verhindert dabei direktes Eingreifen in das Sicherheits-Niveau. Spätestens über die automatische Benachrichtigung das ein Gerät nicht mehr aktuell oder geschützt ist sollte der Administrator bzw. Securepoint-Partner mitbekommen, das etwas nicht stimmt.

Der Client meldet sich alle 60 Sekunden beim Dashboard und erhält alle 20 Minuten eine neue Signatur. Somit ist man quasi immer up-to-date.

Kommentare die man bei einem Gerät hinterlegen kann sind leider nicht editier- oder löschbar. Um beispielsweise einzutragen, wer an dem Client sitzt oder welche Rolle der Server hat bietet sich das Feld „Eigene Bezeichnung“ an.

Aus dem Dashboard heraus kann keine Neu- oder Deinstallation angestartet werden.

Securepoint’s Antivirus Pro bietet keinen Webfilter nach Kategorien oder gar einen Werbefilter an. Ersteres ist der UTM vorbehalten, letzteres kann durch entsprechende Browser-Erweiterungen umgesetzt werden.

Der Windows-Dienst heißt übrigens „XGuard“.

Im Windows-Ereignisprotokoll werden diverse Ereignisse erfasst, somit wäre es möglich Securepoint Antivirus Pro durch eigene bzw. externes Monitoring zusätzlich zu überwachen.

Fazit

Abgesehen von ein paar Kleinigkeiten ist Securepoint’s Antivirus Pro eine geeignete Lösung für den zentral verwalteten Unternehmensvirenschutz und MSP-Anbieter. Vor allem in Zeiten der Roadwarrior (Außendienst) und von Home Office macht die Unabhängigkeit von einem im Unternehmen-stehenden Management-Server Sinn. Die Handhabung ist einfach, die Installation sowie der Scan sind zügig durchgeführt und die Ressourcenbelastung ist gering. Der Service und Support sind Securepoint-typisch gut.

4 Kommentare

  • Gute AV Lösungen (nicht nur die Scan Leistung auch da Management etc.) aus der EU etc. sind schon rar.Aber für eine AV Software die u.a für Firmen gedacht ist, hätte ich schon gerne eine Möglichkeit die Clients/Server vom Dashboard aus zu installieren…ich hätte keine große Lust unsere Windows Server im 3 stelligen Bereich alle einzeln durchzugehen…xD

    Gruß

    Daniel

  • Das Dashboard bzw. die gesamte Verwaltung liegt in der Cloud, ergo kann das Dashboard keine Verteilung in der (lokalen) Domäne vornehmen.
    Eine Verteilung eines vorkonfigurierten Setups ist min. mittels GPO möglich.

  • Was verbirgt sich hinter dem Guard?

    Was kostet der Spaß?

  • > Was verbirgt sich hinter dem Guard?

    Falls damit „XGUard“ gemeint ist, dann ist das schlicht der Name des Windows-Dienstes, hinter dem sich Securepoint Antivirus Pro verbirgt.

    > Was kostet der Spaß?

    Wenn man Securepoint Partner/Reseller ist einfach im Reseller-Portal in die Preisliste schauen oder beim Ansprechpartner nachfragen.
    Ist man kein Partner/Reseller dann entweder zu einem werden oder sich einen suchen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.